如果我创建一个iframe这样的:
var dialog = $('<div id="' + dialogId + '" align="center"><iframe id="' + frameId + '" src="' + url + '" width="100%" frameborder="0" height="'+frameHeightForIe8+'" data-ssotoken="' + token + '"></iframe></div>').dialog({
我该如何修复错误:
拒绝
'https://www.google.com.ua/?gws_rd=ssl'在框架中显示,因为它将“X-Frame-Options”设置为“SAMEORIGIN”。
用 JavaScript?
你不能X-Frame-Options在iframe. 这是由您请求资源的域设置的响应标头(google.com.ua在您的示例中)。SAMEORIGIN在这种情况下,他们已将标头设置为,这意味着他们已禁止在其iframe域外部加载资源。有关更多信息,请参阅MDN 上的 X-Frame-Options 响应标头。
快速检查标头(此处显示在 Chrome 开发人员工具中)会显示X-Frame-Options从主机返回的值。
X-Frame-Options是包含在对请求的响应中的标头,用于说明所请求的域是否允许自己在框架内显示。它与 javascript 或 HTML 无关,并且不能被请求的发起者更改。
本网站已设置此标题以禁止其显示在iframe. 客户无法阻止这种行为。
如果您控制发送 iframe 内容的服务器,您可以X-Frame-Options在您的网络服务器中设置设置。
要为所有页面发送 X-Frame-Options 标头,请将其添加到您站点的配置中:
Header always append X-Frame-Options SAMEORIGIN
要配置 nginx 以发送 X-Frame-Options 标头,请将其添加到您的 http、服务器或位置配置中:
add_header X-Frame-Options SAMEORIGIN;
此标题选项是可选的,因此如果根本未设置该选项,您将提供将其配置到下一个实例的选项(例如访问者浏览器或代理)
来源:https : //developer.mozilla.org/en-US/docs/Web/HTTP/X-Frame-Options
由于服务器端并未真正提及该解决方案:
必须设置这样的设置(来自 apache 的示例),这不是最好的选择,因为它在所有情况下都允许,但是在您看到服务器正常工作后,您可以轻松更改设置。
Header set Access-Control-Allow-Origin "*"
Header set X-Frame-Options "allow-from *"
如果没有任何帮助,并且您仍然想在 iframe 中显示该网站,请考虑使用X Frame Bypass 组件,该组件将利用代理。